GDPRの起草者が想定した少し未来の情報環境はどのようなものだったのか？

個人データ保護指令95/46/ECは，約20年間実施された。この指令を全面的に置き換えて改正するGDPRは，警察指令，eプライバシー指令及びEU機関データ保護規則と併せて一体的なものとして（パッケージとして）改正されることが構想された。同時進行的に通信法の全面改正も企図された。現時点において現実に制定されたのはGDPR、警察指令(EU) 2016/680及びPNR指令(EU) 2016/681だけという感じになっているのだが、GDPRを正しく理解するためには，これらの法令の改正等を推進した近未来の情報環境の想定のようなものを理解しなければならない。

そのような想定を理解するために重要な文書は多数ある。それらの中で比較的理解しやすく，かつ，重要度の高いものとして，データ駆動型経済に関する通知がある。

　COM(2014) 442 final
　https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=COM:2014:0442:FIN

これを読まずしてGDPRを語ることはできない。

また，大規模なクラウド環境や広域ネットワーク環境を踏まえた個人データの安全性確保の面において，NIS指令の重要性を特に指摘しなければならない。NIS指令及び関連実装規則の正確な理解は，必須である。NIS指令は，情報セキュリティマネジメントシステムの基本的な考え方におけるインシデント対応の仕組み，特に，インシデント対応の際のエスカレーションの仕組みをEUの現実の組織構造の中に投影し，現実に機能させようとするものである。NIS指令は，サイバー犯罪対策及びテロ対策とも密接に連携するものであるので，サイバー犯罪条約及びそれに対応するEUの関連法令の理解も極めて重要である。

更に，その後の変化も考えなければならない。欧州議会のロボット法の制定を求める報告書の採択，関連する経済社会委員会の意見書等をくまなく読み，起草時時点以降の力点の変化を理解する必要がある。

以上のような精密な調査・検討を踏まえた上で，条項それ自体の微妙な変化も考慮に入れ，加えて，GDPRとの同時適用（施行）は見送られたもののなお極めて大きな重要性をもつeプライバシー規則案及びEU機関個人データ保護規則案をつぶさに検討しながら考えてみると，「個人データ」の定義の実質部分を従来とは相当に異なるものとして理解すべき必要性を認識することができる。

孤立した個々の「データ」ではなく「データセット」及びそれを用いた「プロファイリング」の社会的重要性の増加に関しては，上記のデータ駆動型経済通知の中でも強調されているところであるが，まさにそのことが，法概念の変容を招いているのである。

一般に，どのような法理論といえども，誰か過去の学者が考えた内容を符号化したものに過ぎない。そのことを正確に理解した上で，それ自体として破綻し，ダメになってしまった法理論及び社会的有用性が全くない法理論はさっさと捨て去り，新たな法理論の構築のための努力が継続されなければならない。

 

（余談）

法と情報雑誌に掲載した参考訳（初版）の中では，GDPRにおける立証責任の転換の重要性を強調し，研究仲間の間ではそのことを話題にしてきた。

この論点は，残念ながら，現在のところ，少なくとも日本国においては，ほとんど注目されていない論点の１つと言える。

しかし，個人データの侵害があった場合，「当該個人データの侵害について全く責任がないこと」を事業者側が主張・立証しなければならないのである。

それゆえ，通常の訴訟と同様に，被害者（原告）の側で，加害者（被告）の過失の立証ができなければ法的責任を負うことはないと安易に構えていると，実は大変なことになる。

関連企業としては，「全く責任がないこと」を立証するための証拠（エビデンス）が適正に確保され，それが利用可能な状態となっているか否かについて，常に神経をとがらせ続ける必要性がある。